Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Schutz von Systemen vor der neuen HTTP/2 Rapid Reset-Schwachstelle

A10 Blog / Cybersicherheit - Technologie / Schutz von Systemen vor der neuen HTTP/2 Rapid Reset-Schwachstelle
Vishnu Vasanth Radja
Vishnu Vasanth Radja
|
Oktober 24, 2023

Das Bedrohungsforschungsteam von A10 Networks hat die HTTP/2 Rapid Reset-Schwachstelle(CVE-2023-44487) untersucht, die in den letzten Tagen identifiziert wurde, und Kunden beraten, wie sie diese in ihrem Netzwerk am besten entschärfen können.

Die HTTP/2 Rapid Reset-Schwachstelle(CVE-2023-44487) nutzt die Eigenschaften des HTTP/2-Protokolls aus. Im Gegensatz zu HTTP/1.1 erlaubt HTTP/2 Multiplexing und Gleichzeitigkeit, wobei mehrere Datenströme viel effizienter innerhalb einer einzigen TCP-Verbindung aufgebaut werden können. Die Schwachstelle ermöglicht es böswilligen Akteuren, die Serverbeschränkungen für Datenströme zu umgehen, indem sie unmittelbar nach der Anforderung eines neuen Datenstroms Pakete zum Zurücksetzen des Datenstroms ausgeben. Einige Bot-Exploits sind dafür bekannt, dass sie eine große Anzahl von Streams innerhalb einer einzigen TCP-Verbindung anfordern. Dadurch kann es vorkommen, dass die Server nicht in der Lage sind, geschlossene Streams umgehend zu bereinigen, was zu einer Überlastung der Server und schließlich zu einer Unterbrechung der Dienste führt, weil die Ressourcen erschöpft sind.

Bedrohungsakteure haben sich Botnetze zunutze gemacht, die mit Malware-Skripten infiziert sind und selbstständig TCP-Sitzungen initiieren können. Sie werden von Command-and-Control-Servern (C2) koordiniert, die sie anweisen, schnelle Reset-Angriffe zu initiieren. Bei einem kürzlichen Vorfall waren rund 20.000 Botnets an einem DDoS-Angriff beteiligt, darunter möglicherweise auch solche, die vom A10-Bedrohungsforschungsteam überwacht werden.

Der Angriff selbst ist ein nicht-reflektierender, nicht-volumetrischer und größtenteils verschlüsselter Angriff. Daher wäre er für netzwerkbasierte Verkehrsüberwachungs- und DDoS-Erkennungssysteme weniger sichtbar, aber er nutzt eine Schwachstelle in der Stream-Multiplexing-Funktion des HTTP/2-Protokolls aus, die alle HTTP/2-fähigen Server und Proxys im Internet anfällig und durch diesen Angriff gefährdet macht.

Empfohlene Abhilfestrategien

Aufgrund der Art der Schwachstelle und der potenziellen DDoS-Angriffe, die sie ausnutzen, empfiehlt A10 - als Branchenführer im Bereich DDoS-Schutz - die folgenden Abhilfestrategien:

  1. Patchen Sie HTTP/2-Server:
    Jedes Unternehmen, das HTTP/2-fähige Systeme hat, sollte seine Gefährdung durch diese Schwachstelle anhand von CVE-2023-44487 oder den Hinweisen des jeweiligen Anbieters bewerten und so schnell wie möglich geeignete Abhilfemaßnahmen wie Software-Patches und -Updates ergreifen.
  2. Einsatz eines HTTP/2-fähigen HTTP-Proxys oder Application Delivery Controllers (ADC):
    Die Ratenbegrenzung von HTTP/2-Anfragen allein kann diese Schwachstelle nicht vollständig beheben, da sie die Anzahl der legitimen Anfragen beeinträchtigt. Ohne den HTTP/2-Request-Header zu verstehen, ist es außerdem nicht möglich, legitime Anfragen oder den Angriff selbst zu identifizieren. An dieser Stelle kommt der ADC (oder HTTP-Proxy) ins Spiel. Der ADC stellt eine Verbindung von einer Quelle her und bearbeitet HTTP/2-Anfragen im Namen der Backend-Server. Der ADC kann die Anfrage analysieren und validieren und Gegenmaßnahmen ergreifen, z. B. die Zähler für HEADER- und RST_STREM-Frames überwachen und die Anzahl der Frames oder gleichzeitigen Streams auf einer Verbindung begrenzen.
  3. IP-Blocklisten:
    Die regelmäßige Aktualisierung und Pflege von IP-Blocklisten zur Blockierung des Datenverkehrs von bekannten Botnetzen ist eine grundlegende Sicherheitspraxis. Die Blockierung des Datenverkehrs von teilnehmenden HTTP/2-Angreifern während des Angriffs kann die Bedrohung erheblich eindämmen.
  4. Nutzen Sie Netzwerkfilter:
    Es wird empfohlen, geografische und anpassbare Filter zu implementieren, um den eingehenden HTTP-Datenverkehr zu beschränken. Diese Filter können im Allgemeinen dazu beitragen, potenziell bösartigen Datenverkehr zu identifizieren und zu blockieren.
  5. Ratenbegrenzung pro Quelle:
    Eine typische Ratenbegrenzung auf der Grundlage des Ziels ist nicht wirksam, da sie nicht zwischen legitimen und angegriffenen Anfragen unterscheiden kann. Die Anwendung einer Ratenbegrenzung pro Quelle auf dem Inline-Netzwerksicherheitsgerät, wie z. B. einer Firewall oder einem DDoS-Schutzsystem, kann verhindern, dass ein einzelner Client eine übermäßige Anzahl von HTTP-Streams öffnet, falls infizierte Bots wiederholt einen HTTP/2 Rapid Reset-Angriff senden. Es ist eine bessere Praxis, die Ratenbegrenzung pro Quelle auf IPs anzuwenden, die auf der gepflegten IP-Blockliste aufgeführt sind.
  6. Zusammenarbeit:
    Es ist wichtig, Bedrohungsdaten mit Sicherheitskreisen, Kollegen und Partnern aus der Industrie auszutauschen. Gemeinsame Anstrengungen können zu einer schnelleren Identifizierung und Eindämmung neuer Bedrohungen führen.

Wie A10 helfen kann

A10 Thunder® ADC unterstützt das HTTP/2-Protokoll VIP (oder virtueller Server) und verfügt über integrierte Kontrollrahmenbegrenzungen, die einen HTTP/2 Rapid Reset-Angriff entschärfen können. Weitere Einzelheiten finden Sie im A10 Security Advisory zu CVE-2023-44487. Durch die Identifizierung der IPs der Angreifer auf dem ADC hilft das Feedback bei der Erstellung einer effektiven IP-Blockierliste, die als erste Verteidigungslinie auf der Firewall oder dem DDoS-Schutzsystem wie A10 Thunder TPS verwendet werden kann. Thunder TPS ermöglicht eine Ratenbegrenzung pro Quelle unter Verwendung der gepflegten IP-Blockliste und/oder der IP-Blocklisten von A10 threat intelligence service für die bekannten Botnets, wobei unerwünschter Datenverkehr unterdrückt wird, bevor er den HTTP/2-Server oder ADC erreicht.

Die HTTP/2 Rapid Reset-Schwachstelle stellt eine ernsthafte Bedrohung für die Netzwerksicherheit dar und kann zu störenden DDoS-Angriffen führen. Da Angreifer diese Schwachstelle zunehmend mit Botnets ausnutzen, müssen Unternehmen proaktive Maßnahmen ergreifen, um ihre Netzwerkinfrastruktur und -dienste zu schützen. Die Kombination aus Thunder ADC, Thunder TPS, IP-Blocklisten und der Unterstützung durch das A10-Forschungsteam wird dazu beitragen, die Auswirkungen dieser Schwachstelle zu mindern. Die Zusammenarbeit innerhalb der Sicherheits-Community ist unerlässlich, um neuen Bedrohungen einen Schritt voraus zu sein und sich vor zukünftigen Angriffen zu schützen.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cybersicherheits-Technologie
Vorheriger Beitrag
Nächster Beitrag
Vishnu Vasanth Radja
Vishnu Vasanth Radja
|
Oktober 24, 2023

Cybersecurity-Forscher konzentriert sich auf KI/ML-gesteuerte DDoS-Abwehr Mehr lesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. Neueste Sicherheitslücke löst rekordverdächtige DDoS-Attacken aus
  2. Systeme greifen die Ukraine mit Amplifikations- und DrDoS-Angriffen an
  3. Bereitstellung von DDoS-Schutz, HTTP/3- und QUIC-Protokollschutz